Die Mathematik als Grundlage derKryptographie

Joachim RosenthalUniversitat Zurich

Winterthur, 10. November, 2017.

Vortragsubersicht:

1. Historische Bemerkungen

2. Chiffrierungen mit geheimen Schlusseln

3. Chiffrierungen mit offentlichen Schlusseln

4. Neue Mathematik fur neue Kryptographie

Vortragsubersicht:

1. Historische Bemerkungen

2. Chiffrierungen mit geheimen Schlusseln

3. Chiffrierungen mit offentlichen Schlusseln

4. Neue Mathematik fur neue Kryptographie

1. Historische Bemerkungen

Caesar benutzte einfache monoalphabetischeVerschlusselungen. Dazu identifiziere die Buchstaben mit derMenge Z26:

A B C D E F G H I J K L M N O P Q R S T U V W X Y Z0102030405060708091011121314151617181920212223242526

Eine Caesar Verschlusselung hat dann die Form:

Z26 −→ Z26

x 7−→ x +k

wobei k der geheime Schlussel ist, 1≤ k ≤ 25.

1. Historische Bemerkungen

Caesar benutzte einfache monoalphabetischeVerschlusselungen. Dazu identifiziere die Buchstaben mit derMenge Z26:

A B C D E F G H I J K L M N O P Q R S T U V W X Y Z0102030405060708091011121314151617181920212223242526

Eine Caesar Verschlusselung hat dann die Form:

Z26 −→ Z26

x 7−→ x +k

wobei k der geheime Schlussel ist, 1≤ k ≤ 25.

Beispiel:

Caesar schickt seinen Generalen in Gallien die Meldung:YWLPQNA WOPANET WJZ KXAHET DEY AP JQJY FQHEQOYWAOWNEin Test aller 25 Moglichkeiten ergibt sofort dieEntschlusselung:

Entschlusselung

Verschlusselung Codex 7→ x +1 ZXMQROB ...

x 7→ x +2 AYNRSPC ...x 7→ x +3 BZOSTQD ...x 7→ x +4 CAPTURE ASTERIX AND OBELIX

HIC ET NUNC JULIUS CAESAR

Entschlusselung

Verschlusselung Codex 7→ x +1 ZXMQROB ...x 7→ x +2 AYNRSPC ...

x 7→ x +3 BZOSTQD ...x 7→ x +4 CAPTURE ASTERIX AND OBELIX

HIC ET NUNC JULIUS CAESAR

Entschlusselung

Verschlusselung Codex 7→ x +1 ZXMQROB ...x 7→ x +2 AYNRSPC ...x 7→ x +3 BZOSTQD ...

x 7→ x +4 CAPTURE ASTERIX AND OBELIXHIC ET NUNC JULIUS CAESAR

Entschlusselung

Verschlusselung Codex 7→ x +1 ZXMQROB ...x 7→ x +2 AYNRSPC ...x 7→ x +3 BZOSTQD ...x 7→ x +4 CAPTURE ASTERIX AND OBELIX

HIC ET NUNC JULIUS CAESAR

Das Rot13 Verschiebechiffre System

Quelle: Wikipedia

3. Monoalphabetische Substitutionen

Anstatt eine Caesar-Verschiebung kann man beliebigePermutationen als Verschlusselung angeben:

A B CD E F GH I J K L MNOPQRST U V W X Y ZRD X A MC U I ELNZ Y H S B T V J FQG K WOP

Bemerkung: Es gibt

26! = 403’291’461’126’605’635’584’000’000

Moglichkeiten, dies sind 403 Quatrillionen verschiedenegeheime Schlussel. Kein Computer kann alle Schlussel testen.

3. Monoalphabetische Substitutionen

Anstatt eine Caesar-Verschiebung kann man beliebigePermutationen als Verschlusselung angeben:

A B CD E F GH I J K L MNOPQRST U V W X Y ZRD X A MC U I ELNZ Y H S B T V J FQG K WOP

Bemerkung: Es gibt

26! = 403’291’461’126’605’635’584’000’000

Moglichkeiten, dies sind 403 Quatrillionen verschiedenegeheime Schlussel. Kein Computer kann alle Schlussel testen.

Frequenzanalyse

Kompliziertere monoalphabetische Verschlusselungen konnenmittels Frequenzanalysen dechiffriert werden. Z.B. die sechshaufigsten Buchstaben in der Deutschen Sprache sind:

E N I S R A17,40% 9,78% 7,55% 7,27% 7,00% 6,51%

die sechs seltensten Buchstaben in der Deutschen Sprachesind:

P V J Y X Q0,79% 0,67% 0,27% 0,04% 0,03% 0,02%

Frequenzanalyse

Kompliziertere monoalphabetische Verschlusselungen konnenmittels Frequenzanalysen dechiffriert werden. Z.B. die sechshaufigsten Buchstaben in der Deutschen Sprache sind:

E N I S R A17,40% 9,78% 7,55% 7,27% 7,00% 6,51%

die sechs seltensten Buchstaben in der Deutschen Sprachesind:

P V J Y X Q0,79% 0,67% 0,27% 0,04% 0,03% 0,02%

Buchstabenhaufigkeit in der deutschen Sprache

0.0%1.0%2.0%3.0%4.0%5.0%6.0%7.0%8.0%9.0%

10.0%11.0%12.0%13.0%14.0%15.0%16.0%17.0% 16

.375

%5.

001%

A

0.41

3%

A

1.60

0%

B

2.88

1%

C

3.85

4%

D

13.9

01%

E

1.30

9%

F

2.45

0%

G

4.60

0%

H

6.62

3%

I

0.20

3%

J

1.06

7%

K

2.95

3%

L

2.28

6%

M

8.40

2%

N

1.90

7%

O

0.24

5%

O

0.49

7%

P0.

012%

Q5.

896%

R5.

880%

S

4.99

0%

T

2.96

4%

U

0.55

5%

U

0.60

5%

V

1.46

9%

W

0.01

3%

X

0.11

6%

Y

0.93

3%

Z

Digrammhaufigkeit in der deutschen Sprache

0.0%

0.25%

0.5%

0.75%

1.0%

1.25%

1.5%

1.75%

2.0%

2.25%

2.5%

2.75%

3.0%

3.25% 3.09

2%E

N2.

918%

ER

2.87

7%N

2.66

3%C

H2.

633%

E2.

100%

R2.

098%

D1.

930%

S1.

830%

TE1.

603%

EI

1.59

0%IN

1.55

7%IE

1.52

6%D

E1.

414%

E1.

309%

S1.

286%

GE

1.22

9%IC

1.16

4%T

1.13

0%A

1.06

2%N

D1.

046%

W1.

037%

I1.

025%

H0.

986%

UN

0.95

0%N

E0.

926%

BE

0.90

2%A

N0.

883%

ES

0.85

7%S

T0.

835%

SE

Vigenere Chiffre

Im 17. Jahrhundert fuhrte Vigenere eine Vektorversion derCaesar Verschlusselung ein. Dazu betrachte die Abbildung:

(Z26)n −→ (Z26)

nx1x2...

xn

7−→

x1 +k1x2 +k2

...xn +kn

Vigenere Chiffres konnen einfach mit Frequenzanalysegebrochen werden.

Vigenere Chiffre

Im 17. Jahrhundert fuhrte Vigenere eine Vektorversion derCaesar Verschlusselung ein. Dazu betrachte die Abbildung:

(Z26)n −→ (Z26)

nx1x2...

xn

7−→

x1 +k1x2 +k2

...xn +kn

Vigenere Chiffres konnen einfach mit Frequenzanalysegebrochen werden.

Redundanz der Deutschen Sprache

Die Bcuhstbaenrehenifloge in eneim Wrot ist eaglNcah enier nueen Sutide, die uetnr aerdnem von derCmabirdge Uinertvisy duhrruchgeft wrdoen sien slol, ist eseagl, in wlehcer Rehenifloge Bcuhstbaen in eneim Wrot sethen,Huaptschae, der esrte und ltzete Bcuhstbae snid an derrhcitgien Setlle. Die rsetclhien Bshcuteban kenonn ttoaldruchenianedr sien, und man knan es tortzedm onhe Poreblmelseen, wiel das mneschilhce Gherin nhcit jdeen Bcuhstbaenenizlen leist, snodren das Wrot als gnazes. Mti dme Pahonemnbchesfatgein shci mherere Hhcochsluen, acuh dieaerichmkianse Uivnaseritt in Ptstbigurh. Esrtmlas uebr dasTmeha gchseibren hat aebr breteis 1976 - und nun in derrgchitien Bruecihhsetnafoelngbe - Graham Rawlinson in sieenrDsiestraiton mit dem Tetil The Significance of Letter Position inWord Recognition an der egnlsicehn Uitneivrsy of Ntitongahm.

Redundanz der Deutschen Sprache

Die Bcuhstbaenrehenifloge in eneim Wrot ist eaglNcah enier nueen Sutide, die uetnr aerdnem von derCmabirdge Uinertvisy duhrruchgeft wrdoen sien slol, ist eseagl, in wlehcer Rehenifloge Bcuhstbaen in eneim Wrot sethen,Huaptschae, der esrte und ltzete Bcuhstbae snid an derrhcitgien Setlle. Die rsetclhien Bshcuteban kenonn ttoaldruchenianedr sien, und man knan es tortzedm onhe Poreblmelseen, wiel das mneschilhce Gherin nhcit jdeen Bcuhstbaenenizlen leist, snodren das Wrot als gnazes. Mti dme Pahonemnbchesfatgein shci mherere Hhcochsluen, acuh dieaerichmkianse Uivnaseritt in Ptstbigurh. Esrtmlas uebr dasTmeha gchseibren hat aebr breteis 1976 - und nun in derrgchitien Bruecihhsetnafoelngbe - Graham Rawlinson in sieenrDsiestraiton mit dem Tetil The Significance of Letter Position inWord Recognition an der egnlsicehn Uitneivrsy of Ntitongahm.

Hill Chiffre

Um Frequenzanalysen zu erschweren fuhrte Lester S. Hill 1929eine Chiffrierung mittels affin linearen Transformationen ein. SeiA eine invertierbare n×n Matrix mit Eintragen in Z26 und k einn-dimensionaler Vektor: Die Chiffrierung ist dann mittels derAbbildung:

(Z26)n −→ (Z26)

n

x 7−→ Ax +k = y .

Hill Chiffres konnen mittels plaintext Angriffen entschlusseltwerden.

Hill Chiffre

Um Frequenzanalysen zu erschweren fuhrte Lester S. Hill 1929eine Chiffrierung mittels affin linearen Transformationen ein. SeiA eine invertierbare n×n Matrix mit Eintragen in Z26 und k einn-dimensionaler Vektor: Die Chiffrierung ist dann mittels derAbbildung:

(Z26)n −→ (Z26)

n

x 7−→ Ax +k = y .

Hill Chiffres konnen mittels plaintext Angriffen entschlusseltwerden.

Beispiel eines Hill Chiffre

Alice und Bob benutzen den Hill Chiffre: m1m2m3

7−→ 4 18 21

24 3 711 0 3

m1m2m3

+ 11

020

.

Alice schickt an Bob die Meldung: 221210

, 16

1220

, 19

021

, 11

919

.

Beispiel eines Hill Chiffre

Alice und Bob benutzen den Hill Chiffre: m1m2m3

7−→ 4 18 21

24 3 711 0 3

m1m2m3

+ 11

020

.Alice schickt an Bob die Meldung: 22

1210

, 16

1220

, 19

021

, 11

919

.

Beispiel Hill Chiffre

Bob benutzt die folgende Formel um einen verschlusselten

Vektor x :=

x1x2x3

zu dechiffrieren:

m1m2m3

= A−1

x1−11x2−0x3−20

Das Resultat fur Bob ist:

“SEE” “YOU” “ATN” “OON’.

Beispiel Hill Chiffre

Bob benutzt die folgende Formel um einen verschlusselten

Vektor x :=

x1x2x3

zu dechiffrieren:

m1m2m3

= A−1

x1−11x2−0x3−20

Das Resultat fur Bob ist:

“SEE” “YOU” “ATN” “OON’.

Beispiel Hill Chiffre

Bob benutzt die folgende Formel um einen verschlusselten

Vektor x :=

x1x2x3

zu dechiffrieren:

m1m2m3

= A−1

x1−11x2−0x3−20

Das Resultat fur Bob ist:

“SEE” “YOU” “ATN” “OON’.

Beispiel Hill Chiffre

Bob benutzt die folgende Formel um einen verschlusselten

Vektor x :=

x1x2x3

zu dechiffrieren:

m1m2m3

= A−1

x1−11x2−0x3−20

Das Resultat fur Bob ist:

“SEE” “YOU” “ATN” “OON’.

Die Enigma Maschine von Scherbius

Alan Turing (1912-1954)

Quelle: http://aima.cs.berkeley.edu/cover.html

Kerckhoff’s Prinzip

Vortragsubersicht:

1. Historische Bemerkungen

2. Chiffrierungen mit geheimen Schlusseln

3. Chiffrierungen mit offentlichen Schlusseln

4. Neue Mathematik fur neue Kryptographie

2. Chiffrierungen mit geheimen Schlusseln

Claude Shannon [Sha49] publizierte 1949 ein fundamentalesResultat:

There exist unconditionally and provablesecure cryptographic protocols.

Die praktische Konsequenz war, dass es im Prinzip beweisbarsichere Verschlusselungsmethoden gibt.

2. Chiffrierungen mit geheimen Schlusseln

Claude Shannon [Sha49] publizierte 1949 ein fundamentalesResultat:

There exist unconditionally and provablesecure cryptographic protocols.

Die praktische Konsequenz war, dass es im Prinzip beweisbarsichere Verschlusselungsmethoden gibt.

Claude Shannon (1916-2001)

Quelle: http://www.bell-labs.com/

Der ‘One Time Pad’ ist beweisbar sicher

Chiffrierung:binarer Text: 1 0 0 1 0 1 0 0 1 0geheimer Schlussel: 0 0 1 0 1 1 1 1 0 0chiffrierter Text: 1 0 1 1 1 0 1 1 1 0

Dechiffrierung:chiffrierter Text: 1 0 1 1 1 0 1 1 1 0geheimer Schlussel: 0 0 1 0 1 1 1 1 0 0binarer Text: 1 0 0 1 0 1 0 0 1 0

Nachteil 1: Der geheime Schlussel muss eine grossereEntropie haben als das Total der zukunftigen Nachrichten.

Nachteil 2: Der geheime Schlussel darf absolut nur einmalbenutzt werden. (−→ VENONA Projekt)

Der ‘One Time Pad’ ist beweisbar sicher

Chiffrierung:binarer Text: 1 0 0 1 0 1 0 0 1 0geheimer Schlussel: 0 0 1 0 1 1 1 1 0 0chiffrierter Text: 1 0 1 1 1 0 1 1 1 0

Dechiffrierung:chiffrierter Text: 1 0 1 1 1 0 1 1 1 0geheimer Schlussel: 0 0 1 0 1 1 1 1 0 0binarer Text: 1 0 0 1 0 1 0 0 1 0

Nachteil 1: Der geheime Schlussel muss eine grossereEntropie haben als das Total der zukunftigen Nachrichten.

Nachteil 2: Der geheime Schlussel darf absolut nur einmalbenutzt werden. (−→ VENONA Projekt)

Der ‘One Time Pad’ ist beweisbar sicher

Chiffrierung:binarer Text: 1 0 0 1 0 1 0 0 1 0geheimer Schlussel: 0 0 1 0 1 1 1 1 0 0chiffrierter Text: 1 0 1 1 1 0 1 1 1 0

Dechiffrierung:chiffrierter Text: 1 0 1 1 1 0 1 1 1 0geheimer Schlussel: 0 0 1 0 1 1 1 1 0 0binarer Text: 1 0 0 1 0 1 0 0 1 0

Nachteil 1: Der geheime Schlussel muss eine grossereEntropie haben als das Total der zukunftigen Nachrichten.

Nachteil 2: Der geheime Schlussel darf absolut nur einmalbenutzt werden. (−→ VENONA Projekt)

Der ‘One Time Pad’ ist beweisbar sicher

Chiffrierung:binarer Text: 1 0 0 1 0 1 0 0 1 0geheimer Schlussel: 0 0 1 0 1 1 1 1 0 0chiffrierter Text: 1 0 1 1 1 0 1 1 1 0

Dechiffrierung:chiffrierter Text: 1 0 1 1 1 0 1 1 1 0geheimer Schlussel: 0 0 1 0 1 1 1 1 0 0binarer Text: 1 0 0 1 0 1 0 0 1 0

Nachteil 1: Der geheime Schlussel muss eine grossereEntropie haben als das Total der zukunftigen Nachrichten.

Nachteil 2: Der geheime Schlussel darf absolut nur einmalbenutzt werden. (−→ VENONA Projekt)

Rekursive Schlussel

Eine Methode ‘lange Schlussel’ mittels ‘kurzen Schlusseln’ zubilden ist via Rekursionsformeln:

sn+d = f (sn+d−1, . . . ,sn), n = 1,2, . . .

und Anfangsbedingungen s1 = a1, . . . ,sd = ad .

BeispielFibonacci Reihe sn+2 = sn+1 +sn mit Anfangswertens1 = 1, s2 = 1:

uber F3: 1,1,2,0,2,2,1,0,1,1

uber F5: 1,1,2,3,0,3,3,1,4,0,4,4,3,2,0,2,2,4,1,0,1,1

Rekursive Schlussel

Eine Methode ‘lange Schlussel’ mittels ‘kurzen Schlusseln’ zubilden ist via Rekursionsformeln:

sn+d = f (sn+d−1, . . . ,sn), n = 1,2, . . .

und Anfangsbedingungen s1 = a1, . . . ,sd = ad .

BeispielFibonacci Reihe sn+2 = sn+1 +sn mit Anfangswertens1 = 1, s2 = 1:

uber F3: 1,1,2,0,2,2,1,0,1,1

uber F5: 1,1,2,3,0,3,3,1,4,0,4,4,3,2,0,2,2,4,1,0,1,1

Die Data Encryption Standards DES und AES

Im Folgenden seien X ,Y beliebige Mengen.

DefinitionEine Einwegfunktion ist eine Abbildung ϕ : X −→ Y mit derEigenschaft, dass ϕ(x) effizient berechnet werden kann furjedes x ∈ X . Gleichzeitig sollten keine praktischenRechenverfahren existieren die es erlauben x ∈ ϕ−1(y) zuberechnen fur ein gegebenes y ∈ Y .

Anwendung fur Einwegfunktionen:I Passwort AbspeicherungI Hashfunktionen

Die Data Encryption Standards DES und AES

Im Folgenden seien X ,Y beliebige Mengen.

DefinitionEine Einwegfunktion ist eine Abbildung ϕ : X −→ Y mit derEigenschaft, dass ϕ(x) effizient berechnet werden kann furjedes x ∈ X . Gleichzeitig sollten keine praktischenRechenverfahren existieren die es erlauben x ∈ ϕ−1(y) zuberechnen fur ein gegebenes y ∈ Y .Anwendung fur Einwegfunktionen:

I Passwort AbspeicherungI Hashfunktionen

Einwegfunktionen mit geheimem Schlussel

M: Klartextraum.K : Schlusselraum.C: Chiffretextraum.

DefinitionEine Einwegfunktion mit geheimem Schlussel ist eineAbbildung ϕ : M×K −→ Czusammen mit einer Abbildung ψ : C×K −→M so dass gilt:

1. ψ(ϕ(m,k),k) = m fur alle (m,k) ∈M×K .2. Die Abbildungen ϕm : K −→ C, k 7−→ ϕ(m,k)

ϕk : M −→ C, m 7−→ ϕ(m,k)sind Einwegfunktionen.

Geschichte der Data Encryption Standards

1973: National Institute of Standards erfragt die Forscher umeinen Standard.

1975: IBM schlagt ‘Lucipher DES’ mit einer Schlussellange von128 bits vor.

1977: DES mit einer Schlussellange von 56 bits wird zumStandard erklart.

1995: National Institute of Standards erfragt die Forscherwiederum um einen Standard.

2001: Das Rijndael System wird zum Advanced EncryptionStandard (AES) erklart.

Geschichte der Data Encryption Standards

1973: National Institute of Standards erfragt die Forscher umeinen Standard.

1975: IBM schlagt ‘Lucipher DES’ mit einer Schlussellange von128 bits vor.

1977: DES mit einer Schlussellange von 56 bits wird zumStandard erklart.

1995: National Institute of Standards erfragt die Forscherwiederum um einen Standard.

2001: Das Rijndael System wird zum Advanced EncryptionStandard (AES) erklart.

Geschichte der Data Encryption Standards

1973: National Institute of Standards erfragt die Forscher umeinen Standard.

1975: IBM schlagt ‘Lucipher DES’ mit einer Schlussellange von128 bits vor.

1977: DES mit einer Schlussellange von 56 bits wird zumStandard erklart.

1995: National Institute of Standards erfragt die Forscherwiederum um einen Standard.

2001: Das Rijndael System wird zum Advanced EncryptionStandard (AES) erklart.

Geschichte der Data Encryption Standards

1973: National Institute of Standards erfragt die Forscher umeinen Standard.

1975: IBM schlagt ‘Lucipher DES’ mit einer Schlussellange von128 bits vor.

1977: DES mit einer Schlussellange von 56 bits wird zumStandard erklart.

1995: National Institute of Standards erfragt die Forscherwiederum um einen Standard.

2001: Das Rijndael System wird zum Advanced EncryptionStandard (AES) erklart.

Geschichte der Data Encryption Standards

1973: National Institute of Standards erfragt die Forscher umeinen Standard.

1975: IBM schlagt ‘Lucipher DES’ mit einer Schlussellange von128 bits vor.

1977: DES mit einer Schlussellange von 56 bits wird zumStandard erklart.

1995: National Institute of Standards erfragt die Forscherwiederum um einen Standard.

2001: Das Rijndael System wird zum Advanced EncryptionStandard (AES) erklart.

Schematische Beschreibung von AES

Klartext Schlussel

Chiffretext

Runde 1

Runde 2

Runde 3

Runde 4

K1

K2

K3

K4

K5

Schematische Beschreibung von AES

Klartext Schlussel

Chiffretext

S-Box 1 S-Box 2 S-Box 3 S-Box 4 S-Box 5

P-Box

S-Box 1 S-Box 2 S-Box 3 S-Box 4 S-Box 5

P-Box

S-Box 1 S-Box 2 S-Box 3 S-Box 4 S-Box 5

P-Box

S-Box 1 S-Box 2 S-Box 3 S-Box 4 S-Box 5

K1

K2

K3

K4

K5

Das Rijndael System (AES)

Vergleiche mit [Ros03].

µ(z) := z8 +z4 +z3 +z +1 ∈ Z2[z]

ist irreduzibel. Betrachte den endlichen KorperF := Z2[z]/〈µ(z)〉= GF(256) und definiere das Ideal:

I := 〈x4 +1,y4 +1,µ(z)〉 ⊂ Z2[x ,y ,z].

Im folgenden beschreiben wir den Rijndael-Algorithmus mittelspolynomialen Operationen im Ring:

R := Z2[x ,y ,z]/I = F[x ,y ]/〈x4 +1,y4 +1〉. (1)

Die Monome {x iy jzk | 0≤ i , j ≤ 3, 0≤ k ≤ 7

}bilden eine Z2-Basis des Rings (Algebra) R. Insbesondere istdimZ2 R = 128, d.h. |R|= 2128.Falls r ∈ R definieren wir Elemente ri ,j ∈ F und rj ∈ F[x ]/〈x4 +1〉durch:

r =3

∑i=0

3

∑j=0

ri ,jx iy j =3

∑j=0

(3

∑i=0

ri ,jx i

)y j =

3

∑j=0

rjy j . (2)

Fur den Rijndael-Algorithmus definieren wir:

K = M = C = R.

Folgendes Permutationspolynom ist von Wichtigkeit in derBeschreibung:

ϕ(u) :=(

z2+1)

u254+(

z3+1)

u253+(

z7+z6+z5+z4+z3+1)

u251

+(

z5+z2+1)

u247+(

z7+z6+z5+z4+z2)

u239+u223

+(

z7+z5+z4+z2+1)

u191+(

z7+z3+z2+z+1)

u127

+(z6+z5+z+1) ∈ F[u]. (3)

Angenommen Alice und Bob besitzen beide den geheimenSchlussel k ∈ R und Alice mochte die Meldung m ∈ R an Bobschicken. Dazu berechnen beide 11 Elementek (t) ∈ R, t = 0, . . . ,10:

Key Expansion:

k (0) := k

k (t+1)0 :=

(3

∑i=0

ϕ(k (t)i ,3 )x

i

)x3 +z t +k (t)

0 fur t = 0, . . . ,9.

k (t+1)i := k (t+1)

i−1 +k (t)i fur t = 0, . . . ,9, i = 1,2,3.

Beide besitzen nun 11 (geheime) Elemente

k (0),k (1),k (2), . . . ,k (10).

Im weitern definiert Rijndael das Ringelement:

γ := (z +1)x3 +x2 +x +z ∈ R.

Rijndael Verschlusselungs-Algorithmus:

Alice verschlusselt in rekursiver Weise die Meldung m ∈ R:

m(0) := m+k (0)

m(t+1) := γ

3

∑i=0

3

∑j=0

ϕ(m(t)i ,j )x

iy3i+j +k (t+1), t = 0, . . . ,8.

m(10) :=3

∑i=0

3

∑j=0

ϕ(m(9)i ,j )x

iy3i+j +k (10)

Der Chiffretext an Bob ist das Ringelement m(10).

Vortragsubersicht:

1. Historische Bemerkungen

2. Chiffrierungen mit geheimen Schlusseln

3. Chiffrierungen mit offentlichen Schlusseln

4. Neue Mathematik fur neue Kryptographie

3. Chiffrierungen mit offentlichen Schlusseln

Fundamentale Frage:Wie kann eine sichere Kommunikation ohne vorhergehendenSchlusselaustausch gewahrleistet werden?Im Jahre 1976 gaben W. Diffie, M. E. Hellmann undR. C. Merkle darauf eine mathematische Antwort. [DH76]

Diffie-Hellman Schlusselaustausch

Klassischerweise fuhrt man Diffie-Hellman in der multiplikativenGruppe eines endlichen Korpers durch. Man nimmt eine grossePrimzahl p (in der Grossenordnung von 2n mitn ∈ {1024,2048,4096}, wobei n = 1024 heutzutage nicht mehrverwendet werden sollte) und betrachtet die Restklassen in Zpungleich 0:

G := {1p, . . . ,p−1p}

Diese Gruppe (G, ·) hat p−1 Elemente.

Diffie-Hellman Schlusselaustausch

1. Alice sucht sich eine geheime Zahl eA ∈ {2, . . . ,p−1} aus.Sie berechnet gA := geA ∈G und schickt das Ergebnis gAan Beat.

2. Beat sucht sich eine geheime Zahl eB ∈ {2, . . . ,p−1} aus.Er berechnet gB := geB ∈G und schickt das Ergebnis gBan Antje.

3. Zu diesem Zeitpunkt kann man G, g, gA und gB alsallgemein bekannt annehmen.

4. Alice kennt jetzt gB und kann gAB := (gB)eA = geAeB

berechnen, ohne eB zu kennen.5. Beat kennt jetzt gA und kann gAB := (gA)

eB = geAeB

berechnen, ohne eA zu kennen.6. Alice und Beat kennen beide gAB, aber niemand anders

kann aus G, g, gA und gB den Wert gAB berechnen, ohnezuerst einen diskreten Logarithmus zu bestimmen.

Diffie-Hellman-Schlusselaustausch mit Farben

Grundfarbe

Alices geheime Farbe Beats geheime Farbe

Alices offentliche Farbe Beats offentliche Farbe

gemeinsame geheime Farbe gemeinsame geheime Farbe

Diffie-Hellman-Schlusselaustausch mit Farben

GrundfarbeAlices geheime Farbe Beats geheime Farbe

Alices offentliche Farbe Beats offentliche Farbe

gemeinsame geheime Farbe gemeinsame geheime Farbe

Diffie-Hellman-Schlusselaustausch mit Farben

GrundfarbeAlices geheime Farbe Beats geheime Farbe

Alices offentliche Farbe

Beats offentliche Farbe

gemeinsame geheime Farbe gemeinsame geheime Farbe

Diffie-Hellman-Schlusselaustausch mit Farben

GrundfarbeAlices geheime Farbe Beats geheime Farbe

Alices offentliche Farbe Beats offentliche Farbe

gemeinsame geheime Farbe gemeinsame geheime Farbe

Diffie-Hellman-Schlusselaustausch mit Farben

GrundfarbeAlices geheime Farbe Beats geheime Farbe

Alices offentliche Farbe Beats offentliche Farbe

gemeinsame geheime Farbe

gemeinsame geheime Farbe

Diffie-Hellman-Schlusselaustausch mit Farben

GrundfarbeAlices geheime Farbe Beats geheime Farbe

Alices offentliche Farbe Beats offentliche Farbe

gemeinsame geheime Farbe gemeinsame geheime Farbe

Sicherheit vom Diffie-Hellman Schlusselaustausch

1. Mathematisch beruht die Sicherheit des Diffie-HellmanSchlusselaustausch Verfahrens auf der Schwierigkeit desdiskreten Logarithmus in der gewahlten Gruppe G.

2. Fur die Gruppe Zp konnte Maurer und Wolf [Mau94] zeigendass das Diffie-Hellman Verfahren polynomial aquivalentist zum diskreten Logarithmus in der Gruppe.

3. Neue Forschung zeigt dass die multiplikative Gruppe ineinem endlichen Korper vermieden werden sollte wenn dieCharakteristik klein ist [GGMZ14].

4. Von der Informatikseite gibt es Seitenkanalangriffe aufkonkrete Implementationen (Timing-Attacken);

Sendung einer Nachricht die offentlich verschlusselt ist

Alice Bob

Sendung einer Nachricht die offentlich verschlusselt ist

Alice Bob

Sendung einer Nachricht die offentlich verschlusselt ist

Alice Bob

Sendung einer Nachricht die offentlich verschlusselt ist

Alice Bob

Sendung einer Nachricht die offentlich verschlusselt ist

Alice Bob

Sendung einer Nachricht die offentlich verschlusselt ist

Alice Bob

Sendung einer Nachricht die offentlich verschlusselt ist

Alice Bob

Trapdoor Einwegfunktionen

DefinitionEine Trapdoor Einwegfunktion ist eine Abbildung ϕ : X −→ Y ,welche die Eigenschaft besitzt:

1. ϕ ist injektiv2. Mit Hilfe eines ‘privaten Schlussels’ des Designers ist es

moglichϕ−1 : ϕ(X )−→ X .

zu berechnen.

Prinzip der offentlichen Verschlusselungsverfahren

I Alice konstruiert eine Trapdoor Einwegfunktion ϕ : X −→ Yund publiziert diese.

I Mit Hilfe von ϕ verschlusselt Bob seine Meldung x ∈ X . Erschickt ϕ(x) ∈ Y zu Alice.

I Nur Alice weiss x = ϕ−1(ϕ(x)) zu berechnen.

BemerkungIn der Praxis reprasentiert x ∈ X meist einen geheimenSchlussel fur ein symmetrisches Verschlusselungsverfahren(z.B. Rijndael).

BemerkungDie Wichtigkeit von Trapdoor Einwegfunktionen wurde vonDiffie, Hellman und Merkle um 1976 erkannt.

Prinzip der offentlichen Verschlusselungsverfahren

I Alice konstruiert eine Trapdoor Einwegfunktion ϕ : X −→ Yund publiziert diese.

I Mit Hilfe von ϕ verschlusselt Bob seine Meldung x ∈ X . Erschickt ϕ(x) ∈ Y zu Alice.

I Nur Alice weiss x = ϕ−1(ϕ(x)) zu berechnen.

BemerkungIn der Praxis reprasentiert x ∈ X meist einen geheimenSchlussel fur ein symmetrisches Verschlusselungsverfahren(z.B. Rijndael).

BemerkungDie Wichtigkeit von Trapdoor Einwegfunktionen wurde vonDiffie, Hellman und Merkle um 1976 erkannt.

Prinzip der offentlichen Verschlusselungsverfahren

I Alice konstruiert eine Trapdoor Einwegfunktion ϕ : X −→ Yund publiziert diese.

I Mit Hilfe von ϕ verschlusselt Bob seine Meldung x ∈ X . Erschickt ϕ(x) ∈ Y zu Alice.

I Nur Alice weiss x = ϕ−1(ϕ(x)) zu berechnen.

BemerkungIn der Praxis reprasentiert x ∈ X meist einen geheimenSchlussel fur ein symmetrisches Verschlusselungsverfahren(z.B. Rijndael).

BemerkungDie Wichtigkeit von Trapdoor Einwegfunktionen wurde vonDiffie, Hellman und Merkle um 1976 erkannt.

Bemerkungen

Trapdoor Einwegfunktionen haben viele Anwendungen wie z.B.:

I geheimer SchlusselaustauschI Digitale UnterschriftenI Authentication protocolsI Digital Cash SystemI Zero knowledge proofsI BitCoinI Electronic Voting

RSA Trapdoor Einwegfunktion

Alice konstruiert eine ganze Zahl n = pq, wobei p,q Primzahlenmit mehr als 100 Ziffern sind. Sie bestimmt e < n koprim zuφ(n) = (p−1)(q−1). Ihre Trapdoor Einwegfunktion ist:

ϕ : Zn −→ Zn

m 7−→ me = c

Falls Bob an Alice die Nachricht me gesandt hat kann Alice dieMeldung m wie folgt entschlusseln:Alice kennt die Gruppenordnung von (Zn)

∗. Mit Hilfe desEuklidschen Algorithmus berechnet Sie d ,b ∈ Z so dassde+bφ(n) = 1. Die Umkehrfunktion ist dann:

Zn −→ Zn

c 7−→ cd = m

Verifiziere:

cd = (me)d = mde = m1−bφ(n) = m ·(

mφ(n))−b

= m

Bemerkungen

I Fast alle implementierten offentlichenVerschlusselungsverfahren sind RSA basierened.

I Wegen theoretischen Fortschritten im Bereich desFaktorisierens ist heute ein offentlicher Schlussel vonmindestens 1000 bits absolut notwendig.

I Auf einem Quantum-Computer ist faktorisieren inpolynomialer Zeit moglich [Sho99].

ROCA Attacke

I In 1996 Don Coppersmith fand eine effizienteFaktorisierungsmethode fur RSA Zahlen n = p ·q beidenen man die Halfte der bits einer der beiden Primzahlenkannte.

I Eine Deutsche Semiconductor Firma verkaufte Geratewelche RSA Zahlen generierte wobei die Primzahlen diespezielle Form

p = k ·M +(216 +1)a mod M,

hatten.I Eine Gruppe von Tschechischen Forschern [NSS+17]

publizierte im Oktober 2017 ein Verfahren, welches Ideenvon Coppersmith ubernahm und solche RSA Zahlenfaktorisieren kann.

National Institute of Standards (NIST)

NIST: ([nis16]) Im Februar 2016 veroffentlichte NIST einenReport uber “Post-Quantum Kryptograhie” in diesem Reportliest man:

Quote: “It is unclear when scalable quantum computers will beavailable, however in the past year or so, researchers workingon building a quantum computer have estimated that it is likelythat a quantum computer capable of breaking RSA - 2048 in amatter of hours could be built by 2030 for a budget of about abillion dollars. This is a serious long - term threat to thecryptosystems currently standardized by NIST”

Vortragsubersicht:

1. Historische Bemerkungen

2. Chiffrierungen mit geheimen Schlusseln

3. Chiffrierungen mit offentlichen Schlusseln

4. Neue Mathematik fur neue Kryptographie

4. Neue Mathematik fur neue Kryptographie

In der modernen Kryptographie werden oft Mengen eingesetztdie ‘zahlenahnliche’ Eigenschaften haben.

Beispiel: Die folgenden Additions- und Multiplikationstafelnbeschreiben einen irreduziblen Halbring der Ordnung 6.Halbringe dieser Art wurden von Chris Monico und JensZumbragel gefunden und untersucht.

+ 0 1 2 3 4 50 0 1 2 3 4 51 1 1 1 1 1 52 2 1 2 1 2 53 3 1 1 3 3 54 4 1 2 3 4 55 5 5 5 5 5 5

∗ 0 1 2 3 4 50 0 0 0 0 0 01 0 1 2 3 4 52 0 2 2 0 0 53 0 3 4 3 4 34 0 4 4 0 0 35 0 5 2 5 2 5

4. Neue Mathematik fur neue Kryptographie

In der modernen Kryptographie werden oft Mengen eingesetztdie ‘zahlenahnliche’ Eigenschaften haben.

Beispiel: Die folgenden Additions- und Multiplikationstafelnbeschreiben einen irreduziblen Halbring der Ordnung 6.Halbringe dieser Art wurden von Chris Monico und JensZumbragel gefunden und untersucht.

+ 0 1 2 3 4 50 0 1 2 3 4 51 1 1 1 1 1 52 2 1 2 1 2 53 3 1 1 3 3 54 4 1 2 3 4 55 5 5 5 5 5 5

∗ 0 1 2 3 4 50 0 0 0 0 0 01 0 1 2 3 4 52 0 2 2 0 0 53 0 3 4 3 4 34 0 4 4 0 0 35 0 5 2 5 2 5

Elliptische Kurven Kryptographie

Elliptische Kurven Kryptographie

Elliptische Kurven Kryptographie

Massey-Omura Protokoll

Alice und Bob einigen sich auf eine elliptische Kurve E(Fq)deren Ordnung prim ist.Alice mochte die Meldung P ∈ E(Fq) an Bob schicken.

1. Alice wahlt a ∈ Z (ihr privater Schlussel) und schickt anBob aP.

2. Bob wahlt b ∈ Z (Bob’s privater Schlussel) und schickt anAlice baP.

3. Alice berechnet a−1baP = bP (sie entfernt ihren Schlussel)und schickt das Resultat an Bob.

4. Bob berechnet b−1bP = P (er entfernt seinen Schlussel)und erhalt die Meldung von Alice.

Massey-Omura Protokoll

Alice und Bob einigen sich auf eine elliptische Kurve E(Fq)deren Ordnung prim ist.Alice mochte die Meldung P ∈ E(Fq) an Bob schicken.

1. Alice wahlt a ∈ Z (ihr privater Schlussel) und schickt anBob aP.

2. Bob wahlt b ∈ Z (Bob’s privater Schlussel) und schickt anAlice baP.

3. Alice berechnet a−1baP = bP (sie entfernt ihren Schlussel)und schickt das Resultat an Bob.

4. Bob berechnet b−1bP = P (er entfernt seinen Schlussel)und erhalt die Meldung von Alice.

Massey-Omura Protokoll

Alice und Bob einigen sich auf eine elliptische Kurve E(Fq)deren Ordnung prim ist.Alice mochte die Meldung P ∈ E(Fq) an Bob schicken.

1. Alice wahlt a ∈ Z (ihr privater Schlussel) und schickt anBob aP.

2. Bob wahlt b ∈ Z (Bob’s privater Schlussel) und schickt anAlice baP.

3. Alice berechnet a−1baP = bP (sie entfernt ihren Schlussel)und schickt das Resultat an Bob.

4. Bob berechnet b−1bP = P (er entfernt seinen Schlussel)und erhalt die Meldung von Alice.

Massey-Omura Protokoll

Alice und Bob einigen sich auf eine elliptische Kurve E(Fq)deren Ordnung prim ist.Alice mochte die Meldung P ∈ E(Fq) an Bob schicken.

1. Alice wahlt a ∈ Z (ihr privater Schlussel) und schickt anBob aP.

2. Bob wahlt b ∈ Z (Bob’s privater Schlussel) und schickt anAlice baP.

3. Alice berechnet a−1baP = bP (sie entfernt ihren Schlussel)und schickt das Resultat an Bob.

4. Bob berechnet b−1bP = P (er entfernt seinen Schlussel)und erhalt die Meldung von Alice.

Massey-Omura Protokoll

Alice und Bob einigen sich auf eine elliptische Kurve E(Fq)deren Ordnung prim ist.Alice mochte die Meldung P ∈ E(Fq) an Bob schicken.

1. Alice wahlt a ∈ Z (ihr privater Schlussel) und schickt anBob aP.

2. Bob wahlt b ∈ Z (Bob’s privater Schlussel) und schickt anAlice baP.

3. Alice berechnet a−1baP = bP (sie entfernt ihren Schlussel)und schickt das Resultat an Bob.

4. Bob berechnet b−1bP = P (er entfernt seinen Schlussel)und erhalt die Meldung von Alice.

Schlussbemerkung

Danke fur Ihre Aufmerksamkeit!

Spezieller Dank an:Marco Baldi, Josep Climent, Michele Elia, Felix Fontein, ElisaGorla, Anna-Lena Horlemann, Karan Kathuria, Christine Kelley,Juan Antonio Lopez Ramos, Kyle Marshall, Felice Manganiello,Giacomo Micheli, Gerard Maze, Chris Monico, Alina Ostafe,Davide Schipani, Reto Schnyder, Urs Wagner, Violetta Weger,und Jens Zumbragel.

W. Diffie and M. E. Hellman, New directions incryptography, IEEE Trans. Inform. Theory IT-22 (1976),no. 6, 644–654.

Faruk Gologlu, Robert Granger, Gary McGuire, and JensZumbragel, Solving a 6120 -bit DLP on a DesktopComputer, pp. 136–152, Springer Berlin Heidelberg, Berlin,Heidelberg, 2014.

U. M. Maurer, Towards the equivalence of breaking theDiffie-Hellman protocol and computing discrete logarithms,Advances in cryptology—CRYPTO ’94 (Santa Barbara, CA,1994), Springer, Berlin, 1994, pp. 271–281.

Report on Post-Quantum Cryptography, Tech. report,National Institute of Standards and Technology, February2016, NISTIR 8105.

M. Nemec, M. Sys, P. Svenda, D. Klinec, and V. Matyas,The return of coppersmith’s attack: Practical factorization ofwidely used RSA moduli, Preprint, October 2017.

J. Rosenthal, A polynomial description of the Rijndaeladvanced encryption standard, J. Algebra Appl. 2 (2003),no. 2, 223–236.

C. E. Shannon, Communication theory of secrecy systems,Bell System Tech. J. 28 (1949), 656–715.

P. W. Shor, Polynomial-time algorithms for primefactorization and discrete logarithms on a quantumcomputer, SIAM Rev. 41 (1999), no. 2, 303–332(electronic).